3 Arten von komplizierten und kostspieligen E-Mail-Bedrohungen, auf die Unternehmen achten sollten

Es wird geschätzt, dass jede Minute 2,9 Millionen US-Dollar durch Cyberkriminalität verloren gehen und dass große Unternehmen allein aufgrund von Sicherheitsverletzungen 25 US-Dollar pro Minute verlieren. Dies sind schockierende Zahlen, und es ist wahrscheinlich, dass sie in Zukunft wachsen werden. Immer mehr Unternehmen verlagern ihre Geschäfte online, und es entstehen immer mehr Möglichkeiten für Menschen, die bereit sind, online gegen Gesetze zu verstoßen. Einer der beliebtesten Zugangspunkte für Cyberkriminelle sind E-Mails, und es gibt einige spezifische E-Mail-Bedrohungen, die die Datensicherheit gefährden sollen. Insbesondere die Sicherheit von Geschäftsdaten. In diesem Bericht möchten wir drei große E-Mail-Betrügereien hervorheben, die große und kleine Unternehmen weit und breit plagen.

Phishing

Sie müssen bereits wissen, was Phishing ist, wenn man bedenkt, wie gut dieses Phänomen erforscht und analysiert ist. Phishing ist eine Möglichkeit für Cyberkriminelle, Menschen dazu zu bringen, Informationen preiszugeben oder sie Links und Dateien auszusetzen, die böswillig sein oder Hintertüren für aufwändigere Betrügereien öffnen können. Schemata können Nachrichten erstellen, die von glaubwürdigen Betreffzeilen, Signaturen, Logos und Layouts unterstützt werden. Viele Empfänger von Phishing-E-Mails können ohne zu zögern mit ihnen interagieren, was natürlich ein Fehler ist.

Jedes Mal, wenn Sie eine neue Nachricht in Ihrem Posteingang finden, müssen Sie eine Checkliste durchgehen, um festzustellen, ob sie vertrauenswürdig genug ist, um geöffnet zu werden. Ist die Betreffzeile sinnvoll? Gibt es irgendwelche Fehler? Werden Sie anhand der Informationen in Ihrer E-Mail-Adresse angesprochen (z. B. wenn Ihre Adresse billgates001@gmail.com lautet , werden Sie möglicherweise als billgates001 angesprochen)? Kennen Sie den Absender? Wenn Sie die Nachricht am Ende öffnen, müssen Sie auch auf die Nachricht achten. Fordert jemand vertrauliche Informationen an? Enthält die Nachricht einen Link zu einer gefälschten Anmeldeseite? Was ist der Ton der Nachricht? Versucht jemand, Sie einzuschüchtern und Sie dazu zu bringen, nachlässig zu handeln? Es gibt einige häufig verwendete Betreffzeilen, die Phisher verwenden, sie können jedoch auch angepasst werden, weshalb Sie jedes Mal vorsichtig sein möchten.

Walfang

Wenn es um E-Mail-Betrug geht, könnte der Walfang die unheimlichste Art von E-Mail-Betrug sein. Der Walfang wird auch als Business Email Compromise (BEC) -Betrug oder CEO Fraud bezeichnet und ist immer persönlich und zielgerichtet. Kurz gesagt, ein Angreifer verkörpert den CEO des Unternehmens oder eine andere Person in einer hochrangigen Position. Natürlich könnte sich jemand als Mark Zuckerberg ausgeben und Facebook-Nutzer dazu verleiten, zu glauben, dass der CEO der größten Social-Media-Plattform auf dem Planeten Erde sie kontaktiert, aber in diesem Szenario wird Zuckerbergs Name höchstwahrscheinlich verwendet, um die Mitarbeiter von Facebook anzusprechen.

Ohne Zweifel kann es schwierig oder sogar unmöglich sein, tatsächliche CEO-Konten zu entführen, um irreführende E-Mails zu senden, die schädliche Links enthalten, vertrauliche Informationen anzufordern, Geldtransfers anzufordern usw. Das Erstellen von E-Mail-Adressen, die mit echten Adressen identisch zu sein scheinen, ist jedoch schwierig einfach. Schemas können auch die Social-Media-Profile des Unternehmens durchsuchen und öffentliche Informationen (z. B. E-Mail-Adressen, die über eine offizielle Website geteilt werden) verwenden, um fiktive E-Mails legitimer erscheinen zu lassen. Zum Beispiel könnten Intriganten gegen Ende des Jahres versuchen, sich als jemand in dem Unternehmen auszugeben, der angeblich eine Veranstaltung organisiert, und die Teilnehmer auffordern, sich mit persönlichen Daten anzumelden. Leider können Walfangangriffe die Sicherheit von Geschäftsdaten und die Datensicherheit im Allgemeinen ernsthaft gefährden.

Spoofing

Angenommen, Sie sind für Geschäftskontakte oder die Einstellung von Mitarbeitern in Ihrem Unternehmen verantwortlich und sind es daher gewohnt, täglich E-Mails von unbekannten Parteien zu erhalten. Dies bedeutet nicht, dass Sie nachlässig sein können. Sie sollten auf Betreffzeilen, Absenderadressen und Nachrichten achten, bevor Sie Maßnahmen ergreifen. Spoofing ist dem Walfang sehr ähnlich, mit der Ausnahme, dass Intriganten, anstatt Führungskräfte innerhalb des Unternehmens zu imitieren, wahrscheinlich Außenstehende imitieren. Natürlich können Sie nicht jede E-Mail ignorieren, die von einer unbekannten Partei gesendet wird, wenn es Ihre Aufgabe ist, Fremde unterzubringen. Es liegt jedoch in Ihrer Verantwortung, Intriganten fernzuhalten, da Sie nicht derjenige sein möchten, der für schwerwiegende Verstöße gegen die Datensicherheit verantwortlich ist.

Cybersicherheitsforscher sind sich einig, dass Wachsamkeit die beste Medizin gegen Spoofing ist. Es wird auch empfohlen, dass Unternehmen unterschiedliche Instrumente einsetzen, um ihre Mitarbeiter vor Spoofing-Angriffen zu schützen. Möglicherweise möchten sie Tools zur Erkennung von Spoofs, geeignete Verschlüsselungsprotokolle, Virenschutz, VPNs, Firewall- und Paketfilter-Tools verwenden. Insbesondere für E-Mail-Betrug im Zusammenhang mit Spoofing empfehlen die Forscher, E-Mail-Filter und Authentifizierungssysteme zu verwenden und einfach zu verdächtige E-Mails zu ignorieren. Eine gute Faustregel lautet: Wenn Sie etwas verdächtig macht, sollten Sie dies mit dem Absender (vorzugsweise mit einer anderen Kommunikationsmethode) oder mit einer für die Cybersicherheit verantwortlichen Person überprüfen.

So stellen Sie die Datensicherheit sicher, wenn sie per E-Mail bedroht ist

Wie bei allen wichtigen Entscheidungen innerhalb eines Unternehmens muss der Datenschutz von seinen Führungskräften entschieden werden. Der CEO muss denjenigen in niedrigeren Rängen Anweisungen geben, um geeignete Schritte zu unternehmen. Beispielsweise könnte die IT-Abteilung angewiesen werden, Schutzmaßnahmen gegen Spoofing und Phishing zu implementieren. Die Manager verschiedener Abteilungen werden möglicherweise angewiesen, die Mitarbeiter darin zu schulen, wie sie Phishing-E-Mails identifizieren und künftig erfolgreiche Verstöße gegen die Datensicherheit verhindern können.

Wenn ein Datenverstoß aufgetreten ist, ist es natürlich auch wichtig, Probleme zu beheben, die möglicherweise bereits verursacht wurden. Beispielsweise kann es wichtig sein, Kennwörter für alle verwendeten Systeme sowie die Kennwörter aller Mitarbeiterkonten zu ändern, wenn ein Phishing-Angriff zum Exfiltrieren von Anmeldeinformationen verwendet wurde. Intelligente Änderungen sind leichter gesagt als getan, da es nicht ausreicht, ein Kennwort durch ein anderes zu ändern. Jedes Passwort muss eindeutig und sicher sein, und möglicherweise sind nicht alle Beteiligten motiviert genug, entsprechende Änderungen vorzunehmen. Wenn Kennwörter geändert werden müssen, empfehlen wir daher die Implementierung eines vertrauenswürdigen Kennwortverwaltungstools, Cyclonis Password Manager .

Hoffentlich kann die Datensicherheit durch die Implementierung von Tools und das Anpassen von Einstellungen geschützt werden. Beachten Sie jedoch, dass Intriganten über verschiedene Taktiken verfügen, um Phishing-, Walfang- und Spoofing-Angriffe durchzuführen. Wenn Sie dieses Risiko unterschätzen, kann die nächste E-Mail, die Sie unachtsam öffnen, zu großen Problemen führen.

September 3, 2020

Antworten